Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞

最新推荐文章于 2022-11-14 22:44:12 发布
原创 最新推荐文章于 2022-11-14 22:44:12 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#microsoft #windows #图形 #引擎 #postscript #parameters

本文详细介绍了Microsoft Windows图形渲染引擎在处理WMF格式文件时存在的内存越界漏洞,影响多个Windows系统版本。攻击者可通过恶意WMF文件导致拒绝服务攻击。文章分析了漏洞的技术细节,包括两个触发内存越界的代码片段,并提供了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞名称:Microsoft Windows图形渲染引擎WMF格式解码内存越界漏洞
发现者:cocoruder(frankruder_at_hotmail.com) http://ruder.cdut.net
类型:设计错误
最后更新时间:07/01/2006
受威胁的系统:
    Microsoft Windows XP SP2
    Microsoft Windows XP SP1
    Microsoft Windows Server 2003 SP1
    Microsoft Windows Server 2003
    Microsoft Windows ME
    Microsoft Windows 98se
    Microsoft Windows 98
    Microsoft Windows 2000SP4
未受威胁的系统:
    目前未知
厂商:
     www.microsoft.com

漏洞描述:
    Microsoft Windows的WMF图形渲染引擎处理特殊格式的wmf文件时缺乏参数检查,存在多个内存越界漏洞,如果用户访问了恶意的WMF格式文件将导致拒绝服务攻击。
    注意此文章中涉及的问题与ms06-001以及ms05-053中描述的无关。事实上,这是我在测试ms06-001时偶然发现的。

技术细节:
当前发现至少有2个地方可以触发内存越界错误。

1.ExtCreateRegion调用导致内存越界。
函数原型:
HRGN ExtCreateRegion(
  CONST XFORM *lpXform,     // transformation data
  DWORD nCount,             // size of region data
  CONST RGNDATA *lpRgnData  // region data buffer
);

PlayMetaFileRecord函数在调用此函数前会组织RGNDATA *lpRgnData参数,涉及下面几个结构
WMFRECORD结构:
typedef struct _StandardMetaRecord
{
    DWORD Size;          /* Total size of the record in WORDs */
    WORD  Function;      /* Function number (defined in WINDOWS.H) */
    WORD  Parameters[];  /* Parameter values passed to function */
} WMFRECORD;

ExtCreateRegion调用对应的Parameters结构:
typedef    struct     _Parameters
{
    char    unknow1[0x0a];
    WORD    All_PointtStruct_Num;    //后面PointtStruct块的总数
    char    unknow2[0x0a];
    char    PointtStruct[];        //首块
}Parameters;

一个PointtStruct块的结构:
typedef    struct     _PointtStruct
{
    WORD    PointNum;        //后面的RECT结构成员的数目(1个成员2字节)
    WORD    Point[PointNum];    //4个Point构成1个RECT
    char    unkonow[6];
}PointtStruct;

因此每个PointtStruct块的总字节数=PointNum*2+8
ExtCreateRegion调用码为0xff,下面的代码完成计算并分配堆内存操作。

.text:7F00FE07 loc_7F00FE07:                           ; CODE XREF: PlayMetaFileRecord+1256j
.text:7F00FE07                 sub     eax, 3
.text:7F00FE0A                 jnz     loc_7F022B9A    ; 0xff
.text:7F00FE10                 movzx   ecx, word ptr [ebx+10h]        ;取得PointtStruct块总数
.text:7F00FE14                 mov     [ebp-88h], ecx        &nbs
最低0.47元/天 解锁文章

200万优质内容无限畅学
MS06001 图形呈现引擎(WMF)漏洞分析学习手记
生命的守望
02-11 943
MS06001 图形呈现引擎(WMF)漏洞分析学习手记killerxfocus.org    图形呈现引擎中由于其处理 Windows 图元文件 (WMF) 图像的方式而存在一个远程执行代码漏洞。据FlashSky所言是MS早期在处理OLE而在WMF(没有考虑安全)中定义的功能。漏洞因0day方式传播而导致漏洞被曝光。Win2000、XPsp1、XPsp2代码略有不同,如下代码是XPsp1的。一、
Delphi将jpg、bmp、wmf格式转换为emf格式
05-07
- WMFWindows Metafile):是另一种矢量图形和光栅图像混合格式,主要在Windows环境中使用,早期用于创建图形和剪贴画。 在Delphi中实现这些格式之间的转换,主要依赖于GDI+(Graphics Device Interface Plus)库...
图形渲染引擎WMF格式堆溢出漏洞(MS05-053)利用代码
exdream的专栏
01-01 1395
### This file is part of the Metasploit Framework and may be redistributed# according to the licenses defined in the Authors field below. In the# case of an unknown or missing license, this file defau
MS08-052 WMF漏洞分析及漏洞测试
|独自望海。。。
10-03 726
 ------by CuteK一 背景知识由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,1 WMF文件结构--------------------------|| 文件头 ||-------------------------|| 文件记录 ||-------------------------||-------------------------||
WMF漏洞被疯狂利用 “QQ尾巴”借机传播(转)
cuankuangzhong6373的博客
07-02 223
金山毒霸反病毒监测中心消息,目前已经有数以千计的木马、广告软件、病毒利用微软操作系统WMFWindows图元文件)安全漏洞进行传播。金山反病毒专家介绍,病毒作者通常将含有此漏洞WMF恶意文件注入到将要攻击的网站中,在用户系统...
wmf格式图片转png完整java示例(带全部jar).rar
06-20
wmf格式图片转png完整java项目示例,包含所需jdk(jdk1.7.0_80)及完整jar包。 一,实现功能: 1,wmf文件转png文件; 2,wmf格式的base64压缩数据转png图片(带解压base64数据功能); 二,包含的完整jar: batik-...
C#转换BMP图像为wmf格式
03-16
摘要:C#源码,图形图像,图像转换 C#转换BMP图像为wmf格式,C#图像转换程序源码,在这里简要说一下wmf格式文件:wmfMicrosoft Windows操作平台所支持的一种图形格式文件,目前,其它操作系统尚不支持这种格式,如...
wmf:该库支持读取和写入WMF文件。 源代码是按照Windows图元文件格式规范从头开始用纯.NET编写的-windows source code
03-25
源代码是按照Windows图元文件格式规范从头开始用纯.NET编写的。 技术信息 名称:窗口图元文件格式WMF) 文件扩展名: .wmf,.emf MIME类型: image / x-wmf,image / x-emf 分类:矢量/光栅图像 标识符: D7 ...
关于微软WMF 漏洞的 紧急通报 只要你一看图片就会中木马
FreeXploiT
12-30 2097
先说说这个s b漏洞的危害只要你一看图片就会中木马原文发至幻影旅团 http://www.ph4nt0m.org/bbs/showthread.php?s=&postid=65399#post65399cmd下执行 regsvr32.exe /u shimgvw.dll执行以上命令则可禁止wmf执行,regsvr32.exe一般在system32下,没有的话自己去搜envymask刺这个方法只能防
wmf格式开发资料最新Windows Metafile Format- v20170601
09-01
wmf格式开发资料最新Windows Metafile Format,This is a specification of the Windows metafile format (WMF) structure, which can store an image in portable form. The stored image can be rendered by parsing and processing the metafile.
wmf文件查看器
12-17
自己开发的wmf文件查看器,能够查看wmf矢量格式的文件,非常好用!
WMF漏洞是微软故意设置的后门吗?
01-17 1570
Subject: Re: You wont want to miss tonights Security Now!, #22 Date: Thu, 12 Jan 2006 18:46:56 -0800
java解析WMF文件
chenyanxiliujun的专栏
07-03 1233
2012-03-11 最近实习单位布置了一个任务,就是要用java解析微软图元文件wmf图像文件的参数信息,懵懵懂懂做了一个礼拜,任务基本上完成了,在此过程中有很多误区,故在此跟大家分享一下自己的感受,希望能给有同样需求的IT人员一点点灵感,不至于陷入到程序中去。 首先简单介绍一下关于微软的wmf文件:微软的wmf文件分为两种一种是标准的图元文件,一种是活动式图元...
【UE5】解决UE5无法播放mp4视频
Goulandis
11-14 1万+
最近接手的项目需要把项目从UE4中迁移至UE5,其中遇到了一个mp4视频无法播放的bug,这里做一下记录。在官方论中有提到过这个bug,https://forums.unrealengine.com/t/media-textures-wont-display-video-in-ue5-preview-1-while-using-directx-12/503980/2意思是在最新的DX12图形库下UE5默认使用的WMF解码器目前不支持mp4的视频解码。解决方案有两个,其一更换图形库,其二更换解码器。
OpenGL矢量图形输出技术:EPS与WMF格式导出指南
资源摘要信息:"本文主要讲述了在Windows平台上,使用C++语言结合MFC(Microsoft Foundation Classes)库,以及OpenGL图形库,实现将OpenGL渲染的3D网格模型导出为矢量图形格式的过程。矢量图形格式包括PostScript...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值